Σταματία Αναστασοπούλου Επιβλέπων καθηγητής: Ευάγγελος Μανουβέλος Πάτρα, Ιούλιος 2019 (2)Μέρος της παρούσας εργασίας υπό τον τίτλο “How the EU General Data Protection Regulation (GDPR) is reshaping data privacy in the Banking sector

Σχολή Κοινωνικών Επιστημών

Μεταπτυχιακό Πρόγραμμα Σπουδών στην Τραπεζική

Διπλωματική Εργασία

Η συμμόρφωση των ελληνικών τραπεζών με τον Ευρωπαϊκό Κανονισμό Προστασίας Προσωπικών Δεδομένων. Η περίπτωση

της Τράπεζας Πειραιώς.

Σταματία Αναστασοπούλου

Επιβλέπων καθηγητής: Ευάγγελος Μανουβέλος

Πάτρα, Ιούλιος 2019

Μέρος της παρούσας εργασίας υπό τον τίτλο “How the EU General Data Protection Regulation (GDPR) is reshaping data privacy in the Banking sector. The case of Piraeus Bank” και κατόπιν αποδοχής της, παρουσιάστηκε στις 22-23 Φεβρουαρίου 2019 στο Διεθνές Συνέδριο Διοίκησης και Οικονομίας του Ελληνικού Ανοικτού Πανεπιστημίου (ΕΑΠ), ICBE-HOU 2019.

Η παρούσα εργασία αποτελεί πνευματική ιδιοκτησία του φοιτητή («συγγραφέας/δημιουργός») που την εκπόνησε. Στο πλαίσιο της πολιτικής ανοικτής πρόσβασης ο συγγραφέας/δημιουργός εκχωρεί στο ΕΑΠ, μη αποκλειστική άδεια χρήσης του δικαιώματος αναπαραγωγής, προσαρμογής, δημόσιου δανεισμού, παρουσίασης στο κοινό και ψηφιακής διάχυσής τους διεθνώς, σε ηλεκτρονική μορφή και σε οποιοδήποτε μέσο, για διδακτικούς και ερευνητικούς σκοπούς, άνευ ανταλλάγματος και για όλο το χρόνο διάρκειας των δικαιωμάτων πνευματικής ιδιοκτησίας. Η ανοικτή πρόσβαση στο πλήρες κείμενο για μελέτη και ανάγνωση δεν σημαίνει καθ’ οιονδήποτε τρόπο παραχώρηση δικαιωμάτων διανοητικής ιδιοκτησίας του συγγραφέα/δημιουργού ούτε επιτρέπει την αναπαραγωγή, αναδημοσίευση, αντιγραφή, αποθήκευση, πώληση, εμπορική χρήση, μετάδοση, διανομή, έκδοση, εκτέλεση, «μεταφόρτωση» (downloading),

«ανάρτηση» (uploading), μετάφραση, τροποποίηση με οποιονδήποτε τρόπο, τμηματικά ή περιληπτικά της εργασίας, χωρίς τη ρητή προηγούμενη έγγραφη συναίνεση του συγγραφέα/δημιουργού. Ο

Η συμμόρφωση των ελληνικών τραπεζών με τον Ευρωπαϊκό Κανονισμό Προστασίας Προσωπικών Δεδομένων. Η περίπτωση

της Τράπεζας Πειραιώς.

Σταματία Αναστασοπούλου

Επιτροπή Επίβλεψης Διπλωματικής Εργασίας Επιβλέπων Καθηγητής:

Ευάγγελος Μανουβέλος

Συνεργαζόμενο Εκπαιδευτικό Προσωπικό ΕΑΠ

Συν-Επιβλέπων Καθηγητής:

Πρόδρομος Βλάμης

Επίκουρος Καθηγητής, Τμήμα Οικονομικής Επιστήμης, Πανεπιστήμιο Πειραιώς, Μέλος

ΣΕΠ ΕΑΠ

Πάτρα, Ιούλιος 2019

Στον πατέρα μου

Ευχαριστίες Με την ολοκλήρωσητης της διπλωματικής μου εργασίας θα ήθελα να ευχαριστήσω όλους όσους συνέβαλαν στην εκπόνησή της και ιδιαίτερα:

Τον επιβλέποντα καθηγητή μου κ. Μανουβέλο Ευάγγελο για την πολύτιμη υποστήριξή του, την καθοδήγηση και τις συμβουλές του, καθώς και για το άψογο κλίμα συνεργασίας που διαμόρφωσε συμβάλλοντας τα μέγιστα στην κατάρτιση της εργασίας.

Τον κ. Πλάτωνα Καραγεώργο Head, Anti-Money Laundering & Compliance στην Τράπεζα Πειραιώς για το ειλικρινές ενδιαφέρον, τον χρόνο που διέθεσε και τις ουσιαστικές συμβουλές του.

Την οικογένειά μου που είναι πάντα δίπλα μου σε όλα τα σπουδαία μα και σε όλα τα δύσκολα.

Τέλος, θα ήθελα να ευχαριστήσω τον Κώστα για την αγάπη, την συμπαράσταση και την εμψύχωση. Την Ελένη και τον Θανάση για την αμέριστη βοήθεια, υπομονή και υποστήριξη.

Περίληψη

Ο Γενικός Κανονισμός Προστασίας Δεδομένων (ΓΚΠΔ) αποτελεί την πιο σημαντική αλλαγή στο κανονιστικό πλαίσιο προστασίας προσωπικών δεδομένων τα τελευταία είκοσι χρόνια. Ο Κανονισμός σχεδιάστηκε μέσα σε διάστημα τεσσάρων ετών και τελικά εγκρίθηκε από το Ευρωπαϊκό Κοινοβούλιο στις 14 Απριλίου του 2016. Εφαρμόστηκε στις 25 Μαΐου 2018 και αντικαθιστά την Οδηγία 95/46/ΕΚ για την προστασία των δεδομένων.

Σε περίπτωση μη συμμόρφωσης, σε έναν οργανισμό μπορεί να επιβληθεί πρόστιμο έως 4% των ετήσιων συνολικών εσόδων.

Η σημασία του Κανονισμού, καθώς και οι επιπτώσεις του μετά την πρόσφατη εφαρμογή του σε ευρωπαϊκό επίπεδο, αποτελεί θέμα συζήτησης στις διεθνείς μελέτες, οι οποίες αν και αναγνωρίζουν ότι υπάρχει ένας απώτερος στόχος για την ενίσχυση της αποτελεσματικότητας και την εναρμόνιση της προστασίας των δεδομένων προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση μέσω της υιοθέτησης του ΓΚΠΔ, ασκούν και έντονη κριτική πάνω σε αυτό. Σε ό,τι αφορά τον τομέα των χρηματοπιστωτικών υπηρεσιών και τραπεζών, ο ΓΚΠΔ φαίνεται να αποτελεί μια σημαντική πρόκληση. Από τη μία, υπάρχει μια αυξανόμενη χρήση της ανάλυσης δεδομένων, αλλά υφίστανται και δυσκολίες στην υλοποίηση των διεργασιών, όπως η μη συμβατότητα στα συστήματα τεχνολογίας πληροφοριών, το θέμα της επιχειρηματικής κουλτούρας και το θέμα του κόστους.

Σε ό,τι αφορά τον ελληνικό τραπεζικό τομέα, οι ελληνικές τράπεζες, σύμφωνα με τον ΓΚΠΔ, έχουν προσαρμόσει την πολιτική τους σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και τις σχετικές διαδικασίες, προκειμένου να συνεχίσουν να παρέχουν τη μέγιστη δυνατή προστασία στους πελάτες τους και να προσφέρουν την καλύτερη εξυπηρέτηση στο πλαίσιο των συναλλαγών τους. Ο ΓΚΠΔ φαίνεται πως εισάγει νέα στοιχεία και σημαντικές βελτιώσεις, οι οποίες απαιτούν ωστόσο λεπτομερή εξέταση από όλους τους οργανισμούς που εμπλέκονται στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα.

Η παρούσα εργασία θέτει ως στόχο να διερευνήσει το βαθμό συμμόρφωσης του ελληνικού τραπεζικού τομέα αναφορικά με τον Γενικό Κανονισμό Προστασίας

Δεδομένων (ΓΚΠΔ), μέσα από τη μελέτη περίπτωσης στην Τράπεζα Πειραιώς.

Συγκεκριμένα, γίνεται αναφορά στην πολιτική που ακολούθησε και ακολουθεί η Τράπεζα, καθώς η συμμόρφωση θεωρείται μία συνεχής διαδικασία, και εξετάζεται ο βαθμός ευθυγράμμισης ή απόκλισης με τις αρχές του ΓΚΠΔ. Στην παρούσα εργασία χρησιμοποιείται η ποιοτική μεθοδολογική προσέγγιση, που εμπεριέχει και στοιχεία μελέτης περίπτωσης. Ως ερευνητικό εργαλείο χρησιμοποιήθηκε η προσωπική συνέντευξη με τρία στελέχη της Τράπεζας Πειραιώς. Η επιλογή τους έγινε με τη μέθοδο της σκόπιμης δειγματοληψίας και οι ερωτώμενοι επιλέχθηκαν από καταστήματα της Τράπεζας στην Αθήνα.

Σύμφωνα με τα αποτελέσματα της έρευνας, φαίνεται πως η Τράπεζα έχει επιτύχει πολλά στην υλοποίηση της πολιτικής της σε σχέση με τον ΓΚΠΔ και διαφαίνεται πως ο βαθμός ευθυγράμμισης της Τράπεζας σχετικά με τις αρχές του ΓΚΠΔ αξιολογείται θετικός, με περιθώρια βελτίωσης στο μέλλον. Προκλήσεις αποτελούν η πιστοληπτική αξιολόγηση (που αφορά την αξιοπιστία και την φερεγγυότητα ενός ατόμου, μιας επιχείρησης ή μιας χώρας στην αποπληρωμή των χρεών του και η οποία αντικατοπτρίζει πώς μπορεί να ανταποκριθεί στις δανειακές του υποχρεώσεις χωρίς τον κίνδυνο πτώχευσης. Προφανώς μια χαμηλή αξιολόγηση πιστοληπτικής ικανότητας χαρακτηρίζεται από υψηλό κίνδυνο αθέτησης ενός δανείου, ενώ αντίθετα μια υψηλή αξιολόγηση πιστοληπτικής ικανότητας αυξάνει την πιθανότητα η τράπεζα ή κάποιο άλλο χρηματοπιστωτικό ίδρυμα να επεκτείνει την πίστωση προς τον δανειολήπτη), ο προσδιορισμός δανειακής επιβάρυνσης και ο προσδιορισμός πιθανότητας αθέτησης, η ανάπτυξη τεχνολογίας που θα παρέχει μεγαλύτερη πρόσβαση στα δεδομένα, η αύξηση του κινδύνου απάτης, η παραβίαση των δεδομένων, οι αλλαγές στη νομοθεσία, οι αυξημένες απαιτήσεις των πελατών και η διασφάλιση της φήμης της Τράπεζας.

Λέξεις – Κλειδιά

Γενικός Κανονισμός Προστασίας Δεδομένων (ΓΚΠΔ), Οδηγία 95/46/ΕΚ, ελληνικό τραπεζικό σύστημα, Τράπεζα Πειραιώς.

The Greek banks' compliance with the European General Data Protection Regulation. The case of Piraeus Bank.

Stamatia Anastasopoulou

Abstract

The General Data Protection Regulation (GDPR) is considered to be the most significant change in privacy regulatory framework over the past 20 years. The regulation was designed within four years and was eventually adopted by the European Parliament on 14 April 2016. It was implemented on May 25, 2018 and it replaces the Directive 95/46/EC on data protection. In case of non-compliance, an organization can be fined up to 4% of its annual total revenue.

The importance of the regulation and its impact is a topic of discussion in research studies, which recognize that there is an ultimate goal for enhancing the effectiveness and harmonization of the protection of personal data in the European Union through the adoption of GDPR, but they also heavily criticize on the theme. Regarding the financial services/ banking sector, the GDPR seems to be a significant challenge. On the one hand, there is an increasing use of data analysis, on the other hand major difficulties exist in the implementation of the processes, such as the non-compatibility of information technology systems, the issue of organizational culture, the issue of costs etc.

Regarding the Greek banking sector, Banks have adjusted their policy concerning the processing of personal data and the relevant procedures, in order to continue to provide maximum possible protection to their customers and offer their best services. GDPR introduces new components and significant improvements, which however require detailed consideration by all organizations involved in the processing of personal data.

The present study aims to investigate the degree of compliance of the Greek banking

reference is made to the ensuing policy followed by the Bank, as compliance is considered an ongoing process, and the degree of alignment with the principles of the regulation is investigated. In the present study a qualitative methodological approach is used, which also involves evidence using the case study method. The research tool was the personal interview, and four employees replied to GDPR related questions. Their choice was based on deliberate sampling and respondents were selected from Bank’s branches in Athens.

According to the results of the research, it seems that the Bank sufficiently implements its policy in relation to the GDPR, yet prospects for improvement still exist. The degree of alignment of the Bank regarding the GDPR requirements is evaluated positively for the time being. The main challenges concern credit rating (that has to do with the credibility of a person, a business or a country to pay debts. A low credit rating is characterized by a high risk of not paying a loan, while a high credit rating increases the possibility of a bank or a financial organization to extend the credit to the person), loan burden and the determination of the probability of default, the technological development, the greater access to data, the increased risk of fraud, the changes in legislation, the increased customer requirements and the Bank’s reputation.

Keywords

General Data Protection Regulation (GDPR), Directive 95/46/EC, Greek banking system, Piraeus Bank.

Περιεχόμενα

Περίληψη... vi

Abstract ... ix

Περιεχόμενα ... xi

Κατάλογος πινάκων ... xiii

Συντομογραφίες & Ακρωνύμια ... xiv

1. Εισαγωγή ... 1

Προσδιορισμός του προβλήματος ... 1

Η διεθνής εμπειρία ... 1

Ο σκοπός της διπλωματικής εργασίας ... 2

Η θέση της διπλωματικής εργασίας ... 2

Η περιγραφή της γενικής μεθοδολογίας και τα ερωτήματα της έρευνας... 3

Συνοπτική παρουσίαση των ενοτήτων ... 4

2. Θεωρητικό και νομοθετικό πλαίσιο ... 5

2.1 Βασικοί ορισμοί ... 5

2.2 Το πλαίσιο του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ) ... 5

2.3 Η Οδηγία 95/46 της Ευρωπαϊκής Ένωσης ... 7

2.4 Η εφαρμογή του ΓΚΠΔ στον τραπεζικό τομέα μέσα από τη διεθνή έρευνα ... 8

3. Το πλαίσιο των λοιπών συστημικών τραπεζών στην Ελλάδα αναφορικά με τον ΓΚΠΔ και στοιχεία τραπεζών από την Ευρώπη ... 13

3.1 Ο τραπεζικός χάρτης στην Ελλάδα μετά την κρίση ... 13

3.2 ΓΚΠΔ και συστημικές τράπεζες στην Ελλάδα ... 13

3.3 ΓΚΠΔ και τράπεζες στην Ευρώπη ... 15

4.Μεθοδολογία της έρευνας ... 17

4.1 Ο σκοπός της έρευνας και τα ερευνητικά ερωτήματα ... 17

4.2 Μέθοδος έρευνας ... 17

4.3 Τεχνική έρευνας ... 18

4.4 Αντιστοίχιση των ερωτήσεων της συνέντευξης με τα ερευνητικά ερωτήματα της εργασίας ... 24

5. Μελέτη περίπτωσης: Τράπεζα Πειραιώς ... 26

6. Αποτελέσματα συνέντευξης ... 28

6.1 Προφίλ συμμετεχόντων (δημογραφικά στοιχεία) ... 28

6.2 Ανάλυση απαντήσεων συμμετεχόντων ... 29

6.3 Απάντηση ερευνητικών ερωτημάτων εργασίας ... 33

7. Συζήτηση – συμπεράσματα ... 35

7.1 Γενικά συμπεράσματα εργασίας ... 35

7.2 Περιορισμοί εργασίας, προτάσεις για μελλοντική έρευνα και πρακτικές για τις διοικήσεις ... 40

Βιβλιογραφία ... 41

Θεσμικό Πλαίσιο ... 45

Παράρτημα Α: Ερωτήσεις συνέντευξης ... 46

Παράρτημα Β: Απαντήσεις συνέντευξης ... 47

Συνέντευξη Νο 1. ... 47 Συνέντευξη Νο 2. ... 53 Συνέντευξη Νο 3. ... 55

Κατάλογος πινάκων

Πίνακας 1 Οι ερωτήσεις της συνέντευξης της παρούσας ποιοτικής έρευνας ... 24 Πίνακας 2 Η αντιστοίχιση των ερωτήσεων της συνέντευξης με τα ερευνητικά ερωτήματα της εργασίας ... 24 Πίνακας 3 Το προφίλ των ερωτώμενων της παρούσας έρευνας ... 28

Συντομογραφίες & Ακρωνύμια

Automated Teller Machines (ΑΤΜs)

Γενικός Κανονισμός Προστασίας Δεδομένων (ΓΚΠΔ) General Data Protection Regulation (GDPR)

Ευρωπαϊκό Κοινοβούλιο (ΕΚ)

1. Εισαγωγή

Προσδιορισμός του προβλήματος

Ο Γενικός Κανονισμός Προστασίας Δεδομένων (ΓΚΠΔ) (General Data Protection Regulation, GDPR) είναι η πιο σημαντική αλλαγή στο κανονιστικό πλαίσιο προστασίας προσωπικών δεδομένων τα τελευταία 20 χρόνια. Ο Κανονισμός έχει σκοπό να αναδιαμορφώσει ριζικά τον τρόπο που γίνεται η διαχείριση των δεδομένων σε κάθε τομέα, όπως η υγειονομική περίθαλψη, οι τραπεζικές συναλλαγές και αλλού.

Ταυτοχρόνως, επαναπροσδιορίζει τους ρόλους της διοίκησης μέσα στην επιχείρηση και η εφαρμογή του συμβάλλει στην βελτίωση της διαφάνειας, της λογοδοσίας και της προστασίας των δικαιωμάτων των εμπλεκομένων προσώπων.

Το απόρρητο των προσωπικών δεδομένων υπόκειτο πάντοτε σε πιο αυστηρές ρυθμίσεις στην Ευρώπη από ό,τι στις Η.Π.Α. (European Union General Data Protection Regulation, 2019). Από το 1995, έχει λάβει τη μορφή Οδηγίας της Ευρωπαϊκής Ένωσης για την προστασία των δεδομένων. Τα υψηλά ποσοστά μη συμμόρφωσης προσέλκυσαν την προσοχή των μέσων ενημέρωσης, δεδομένου ότι ο ΓΚΠΔ υιοθετήθηκε από το Ευρωπαϊκό Κοινοβούλιο τον Απρίλιο του 2016. Σε περίπτωση μη συμμόρφωσης, σε έναν οργανισμό μπορεί να επιβληθεί πρόστιμο έως 4% των ετήσιων συνολικών εσόδων.

Υπό το παραπάνω πλαίσιο, η παρούσα εργασία έχει στόχο να διερευνήσει τη συμμόρφωση των ελληνικών τραπεζών αναφορικά με τον Γενικό Κανονισμό Προστασίας Δεδομένων, μελετώντας την περίπτωση της τράπεζας Πειραιώς, ενώ σύγκριση θα γίνει και αναφορικά με τα διαθέσιμα δεδομένα άλλων τραπεζών στην Ελλάδα και στην Ευρώπη.

Η διεθνής εμπειρία

Ο τομέας των χρηματοπιστωτικών υπηρεσιών και τραπεζών είναι ένας κλάδος όπου οι ασφαλείς συναλλαγές είναι ύψιστης προτεραιότητας. Υπό τον ΓΚΠΔ, ορισμένες χρηματοπιστωτικές υπηρεσίες και τράπεζες ανά τον κόσμο βρίσκονται ακόμη στη διαδικασία συμμόρφωσης, ιδίως αναφορικά με τους προμηθευτές τρίτων υπηρεσιών, παρά

το γεγονός ότι οι περισσότεροι από αυτούς έχουν ήδη πολιτική προστασίας προσωπικών δεδομένων (Scanlan, 2018). Σύμφωνα με τη βιβλιογραφία, η εφαρμογή του Κανονισμού φαίνεται να είναι μια σημαντική πρόκληση για τον τραπεζικό κλάδο. Αυτό οφείλεται στην ανάγκη που χαρακτηρίζει τις τράπεζες αφενός να συμμορφώνονται αποτελεσματικά με θέματα όσον αφορά τις κατευθυντήριες γραμμές του πελάτη, ενώ από την άλλη πλευρά, ο Κανονισμός προσφέρει στους πελάτες μεγαλύτερη πρόσβαση σε δεδομένα. Κάτω από αυτές τις συνθήκες, υπάρχει μια αυξανόμενη χρήση της ανάλυσης προσωπικών δεδομένων, αλλά υφίστανται και δυσκολίες καθώς οι τράπεζες είναι υποχρεωμένες να προστατεύουν τους καταναλωτές και επιπλέον να συμμορφώνονται και με άλλες διατάξεις που έχουν σχεδιαστεί για να προστατεύσουν τα φυσικά πρόσωπα (Millar, 2018). Όπως αναφέρει και ο Baker (2017), ο ΓΚΠΔ έχει εμφανώς επίδραση στο πώς οι επιχειρήσεις διαχειρίζονται τα προσωπικά δεδομένα, με τον τραπεζικό τομέα να μην αποτελεί εξαίρεση.

Ο σκοπός της διπλωματικής εργασίας

Η παρούσα εργασία έχει στόχο να διερευνήσει το βαθμό συμμόρφωσης των ελληνικών τραπεζών με τον Ευρωπαϊκό Κανονισμό Προστασίας Προσωπικών Δεδομένων (ΓΚΠΔ), μέσα από την περίπτωση της Τράπεζας Πειραιώς. Ειδικά, θα γίνει αναφορά στην πολιτική που ακολούθησε και ακολουθεί η Τράπεζα, καθώς η συμμόρφωση θεωρείται μία συνεχής διαδικασία, και θα εξετασθεί ο βαθμός ευθυγράμμισης ή απόκλισης της Τράπεζας με τις αρχές του ΓΚΠΔ.

Η θέση της διπλωματικής εργασίας

Στην περίπτωση της Τράπεζας Πειραιώς, η διαχείριση των προσωπικών δεδομένων από τον Γενικό Κανονισμό Προστασίας Δεδομένων φαίνεται πως διασφαλίζεται με τρόπο ολοκληρωμένο, καθώς η Τράπεζα υποστηρίζει πως έχει υλοποιήσει όλα τα βήματα που απαιτούνται, με την εφαρμογή όλων των τεχνικών και οργανωτικών μέτρων για την τήρηση της νόμιμης επεξεργασίας και ασφαλούς διατήρησης των προσωπικών

δεδομένων, δηλώνοντας αποφασισμένη να διασφαλίσει και να προστατεύσει με κάθε τρόπο τα εν λόγω στοιχεία.

Η περιγραφή της γενικής μεθοδολογίας και τα ερωτήματα της έρευνας

Η μεθοδολογία που ακολουθήθηκε βασίζεται στην ποιοτική έρευνα με εργαλείο τη συνέντευξη. Στην ποιοτική έρευνα διερευνώνται τα χαρακτηριστικά στοιχεία ενός φαινομένου, οι συμπεριφορές και οι αντιλήψεις των ατόμων και κύριά της στοιχεία είναι η αφομοίωση και η επισκόπηση με τη χρήση τεχνικών που διευκολύνουν την ανάλυση σε βάθος. Η επιλογή της ποιοτικής μεθοδολογίας έγινε με βάση την ευελιξία/ ευκολία επιλογής από μεριάς της ερευνήτριας ως προς την πρόσβασή της σε στελέχη της Τράπεζας Πειραιώς. Η ποιοτική προσέγγιση εμπεριέχει και στοιχεία μελέτης περίπτωσης, αφού αφορά μια συγκεκριμένη τράπεζα στην Ελλάδα.

Ως ερευνητικό εργαλείο στην παρούσα έρευνα χρησιμοποιήθηκε η προσωπική συνέντευξη, της οποίας ο οδηγός δίνεται στο Παράρτημα Α της εργασίας. Απάντησαν 3 άτομα στις ερωτήσεις των συνεντεύξεων, τα οποία είναι στελέχη της Τράπεζας Πειραιώς.

Η συλλογή των δεδομένων έγινε χειρόγραφα και προέκυψε μέσα από την επαφή πρόσωπο με πρόσωπο στους χώρους εργασίας των συνεντευξιαζόμενων, το διάστημα 13-24/5/2019.

Η διάρκεια της κάθε συνέντευξης ήταν κατά μέσο όρο 60 λεπτά και οι ερωτήσεις της συνέντευξης σχεδιάστηκαν ως ανοιχτού τύπου, ενώ περιλαμβάνουν και κάποια δημογραφικά στοιχεία των ερωτώμενων.

Για το σκοπό της έρευνας διατυπώνονται τα ακόλουθα ερευνητικά ερωτήματα:

1. Πώς προσανατολίζεται η πολιτική που ακολούθησε και ακολουθεί η Τράπεζα σε σχέση με τον ΓΚΠΔ;

2. Πώς αξιολογείται ο βαθμός ευθυγράμμισης της Τράπεζας σχετικά με τις αρχές του ΓΚΠΔ;

3. Ποιες είναι οι κύριες προκλήσεις για τον τραπεζικό κλάδο, δεδομένου ότι η συμμόρφωση θεωρείται μια συνεχής διαδικασία;

Συνοπτική παρουσίαση των ενοτήτων

Η εργασία δομείται σε επτά κεφάλαια, εκ των οποίων το πρώτο είναι η Εισαγωγή, όπου γίνεται αναφορά στον προσδιορισμό του προβλήματος, στη σχετική διεθνή εμπειρία για την προσέγγιση του προβλήματος, στο σκοπό της διπλωματικής εργασίας, στη θέση της, στη μεθοδολογία που υιοθετήθηκε, καθώς και στη δομή των ενοτήτων.

Το κεφάλαιο 2 αφορά το θεωρητικό και νομοθετικό πλαίσιο, όπου δίνονται αρχικά κάποιοι βασικοί ορισμοί και έπειτα, αναφέρεται το πλαίσιο του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ) και η Οδηγία 95/46 της Ευρωπαϊκής Ένωσης, καθώς και η εφαρμογή του ΓΚΠΔ στον τραπεζικό τομέα μέσα από τη διεθνή έρευνα.

Το κεφάλαιο 3 αφορά στοιχεία των άλλων τριών συστημικών τραπεζών στην Ελλάδα, αναφορικά με τον ΓΚΠΔ, αλλά και στοιχεία από ξένες τράπεζες ώστε να γίνει μια συγκριτική ανάλυση με την Τράπεζα Πειραιώς.

Το κεφάλαιο 4 αφορά τη μεθοδολογία της έρευνας, όπου διατυπώνεται ο σκοπός της έρευνας και τα ερευνητικά ερωτήματα, δίνεται η μέθοδος της παρούσας έρευνας, καθώς και η τεχνική και το εργαλείο της έρευνας - η συνέντευξη και η μελέτη περίπτωσης - ενώ ακόμη γίνεται η αντιστοίχιση των ερευνητικών ερωτημάτων με τις ερωτήσεις της συνέντευξης.

Στο κεφάλαιο 5 δίνεται η μελέτη περίπτωσης για την Τράπεζα Πειραιώς, όπου παρουσιάζεται το βασικό της προφίλ και η πολιτική της περί ΓΚΠΔ. Στο κεφάλαιο 6 παρουσιάζονται τα αποτελέσματα της έρευνας μέσα από τη διεξαγωγή της συνέντευξης. Η εργασία ολοκληρώνεται με το κεφάλαιο 7, που είναι η συζήτηση και τα συμπεράσματα.

Στο τέλος, δίνεται η Βιβλιογραφία, το Θεσμικό Πλαίσιο και τα Παρατήματα.

2. Θεωρητικό και νομοθετικό πλαίσιο

2.1 Βασικοί ορισμοί

Σύμφωνα με το άρθρο 4, όπως αναπαράγεται από τους Goodman & Flaxman (2016:2) και διατυπώνεται και στην Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 24ης Οκτωβρίου 1995 (άρθρο 2):

 Προσωπικά δεδομένα (Personal data) είναι «οποιαδήποτε πληροφορία σχετικά με ένα προσδιορισμένο ή αναγνωρίσιμο φυσικό πρόσωπο».

 Υποκείμενο των δεδομένων (Data subject) είναι «το φυσικό πρόσωπο στο οποίο αφορούν τα δεδομένα».

 Επεξεργασία (Processing) είναι «κάθε εργασία ή σειρά εργασιών που πραγματοποιείται σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, με ή χωρίς αυτοματοποιημένα μέσα».

 Δημιουργία προφίλ (Profiling) είναι «οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, που αποτελείται από τη χρήση των προσωπικών δεδομένων με σκοπό να αξιολογήσει ορισμένες πτυχές που αφορούν το φυσικό πρόσωπο».

 Αρχείο δεδομένων προσωπικού χαρακτήρα ονομάζεται «κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα που είναι οριοθετημένο με βάση συγκεκριμένα κριτήρια».

2.2 Το πλαίσιο του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ)

Ο ΓΚΠΔ είναι η πιο σημαντική αλλαγή στο κανονιστικό πλαίσιο προστασίας προσωπικών δεδομένων τα τελευταία 20 χρόνια. Ο Κανονισμός σχεδιάστηκε μέσα σε διάστημα τεσσάρων ετών και τελικά εγκρίθηκε από το Ευρωπαϊκό Κοινοβούλιο στις 14 Απριλίου του 2016. Εφαρμόστηκε στις 25 Μαΐου 2018 και αντικαθιστά την Οδηγία 95/46/ΕΚ για την προστασία των δεδομένων, με στόχο να (European Union General Data Protection Regulation, 2019):

 Επιφέρει εναρμόνιση των περί προστασίας προσωπικών δεδομένων σε ολόκληρη την Ευρώπη,

 Εξασφαλίσει προστασία στο απόρρητο δεδομένων των πολιτών της Ευρωπαϊκής Ένωσης και

 Aναμορφώσει τον τρόπο που οι οργανώσεις διενεργούν την προσέγγιση τους σε ότι αφορά τα δεδομένα της ιδιωτικής ζωής.

Ο ΓΚΠΔ αναμορφώνει τον τρόπο με τον οποίο γίνεται η διαχείριση των δεδομένων, καθώς και επαναπροσδιορίζει τους ρόλους για τη διοίκηση στις επιχειρήσεις. Ο Κανονισμός υφίσταται επί του παρόντος στη συνήθη νομοθετική διαδικασία, στο πλαίσιο των σχετικών νομοθετικών οργάνων της Ευρωπαϊκής Ένωσης. Υπάρχουν τρεις ευρωπαϊκές αρχές επίσημα υπεύθυνες για την εν λόγω νομοθετική διαδικασία (European Union General Data Protection Regulation, 2019): η Ευρωπαϊκή Επιτροπή, το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο των Υπουργών της Ευρωπαϊκής Ένωσης. Επιπλέον, δύο συμβουλευτικά όργανα έχουν ειδική σχέση με την προστασία προσωπικών δεδομένων και είναι η Οµάδα Εργασίας του άρθρου 29 (Article 29 Data Protection Working Party) και ο Ευρωπαίος επόπτης προστασίας δεδομένων (European Data Protection Supervisor). Ο ΓΚΠΔ αποσκοπεί στην προστασία όλων των πολιτών της Ευρωπαϊκής Ένωσης και βασικές αρχές του είναι (European Union General Data Protection Regulation, 2019):

 Η αυξημένη εδαφική εμβέλεια

 Κυρώσεις

 Συγκατάθεση

 Δικαιώματα του υποκειμένου των δεδομένων

O Γενικός Κανονισμός για την Προστασία των Δεδομένων καθορίζει σε ποιες περιπτώσεις επιτρέπεται να χρησιμοποιούνται, αποθηκεύονται, διαγράφονται, μεταβιβάζονται και εν γένει επεξεργάζονται τα προσωπικά δεδομένα και κυρίως, με ποιον τρόπο μπορούμε να τα προστατεύουμε. Επηρεάζει κάθε οργανισμό και εταιρεία στην Ευρώπη, η οποία διαχειρίζεται με οποιονδήποτε τρόπο προσωπικά δεδομένα, αλλά και κάθε εταιρεία που συναλλάσσεται στην επικράτεια της Ευρωπαϊκής Ένωσης. Οι κανόνες του είναι πολύπλοκοι και τα πρόστιμα για μη συμμόρφωση πολύ αυστηρά και μπορούν να φτάσουν έως τα 20 εκατομμύρια ευρώ. Οι βασικές αλλαγές που φέρνει ο Κανονισμός είναι (Κανονισμός 2016/679):

 «Προστασία των δικαιωμάτων των παιδιών: απαγορεύεται τη χρήση των social media σε παιδιά έως 16 ετών παρά μόνο με τη συγκατάθεση των γονέων.

 Δικαίωμα στη λήθη: Ο χρήστης έχει το δικαίωμα να ζητήσει την διαγραφή των δεδομένων του.

 Δικαίωμα ενημέρωσης και πρόσβασης στα δεδομένα: Ο πολίτης θα έχει περισσότερη και σαφέστερη ενημέρωση κατά τη συλλογή των δεδομένων του για την επεξεργασία τους και το δικαίωμα πρόσβασης σε αυτά.

 Δικαίωμα διόρθωσης: Ο χρήστης θα έχει το δικαίωμα να απαιτήσει τη διόρθωση ανακριβών στοιχείων καθώς και τη συμπλήρωση ελλιπών δεδομένων που τον αφορούν.

 Δικαίωμα εναντίωσης στην επεξεργασία: Ο πολίτης θα έχει το δικαίωμα να αντιταχθεί στην επεξεργασία των δεδομένων του υπό συγκεκριμένες προϋποθέσεις».

2.3 Η Οδηγία 95/46 της Ευρωπαϊκής Ένωσης

Η Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 24ης Οκτωβρίου 1995 αφορά την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και την ελεύθερη κυκλοφορία των δεδομένων αυτών.

Στόχος της οδηγίας διατυπώνονται οι κάτωθι (άρθρο 1): «1. Τα κράτη μέλη εξασφαλίζουν, σύμφωνα με τις διατάξεις της παρούσας οδηγίας, την προστασία των θεμελιωδών ελευθεριών και δικαιωμάτων των φυσικών προσώπων, και ιδίως της ιδιωτικής ζωής, έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. 2. Τα κράτη μέλη δεν μπορούν να περιορίζουν ή να απαγορεύουν την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα μεταξύ των κρατών μελών για λόγους συναφείς με την προστασία που εξασφαλίζεται δυνάμει της παραγράφου 1».

Αν και οι αρχές του ΓΚΠΔ περί επεξεργασίας δεδομένων προσωπικού χαρακτήρα είναι παρόμοιες με εκείνες που ορίζει η Οδηγία 95/46/ΕΚ περί προστασίας δεδομένων, υπάρχουν μερικές βασικές διαφορές ανάμεσα τους (Voss, 2017: 223): Ο ΓΚΠΔ απαιτεί ρητά τα δεδομένα να τίθενται προς επεξεργασία «με διαφάνεια», αλλά η Οδηγία

ότι τα ανακριβή δεδομένα πρέπει να διαγράφονται ή να διορθώνονται χωρίς αναβολή, προσθέτοντας ένα στοιχείο χρόνου επί της αρχής «ακρίβειας» που περιέχεται ήδη στην Οδηγία προστασίας των δεδομένων. Σύμφωνα με τον Κανονισμό, η Αρχή της

«λογοδοσίας» απαιτεί ο ελεγκτής να είναι σε θέση να αποδείξει τη συμμόρφωση με τις άλλες αρχές επεξεργασίας προσωπικών δεδομένων. Συγκριτικά, ο Κανονισμός διατυπώνεται μέσα από έναν ευρύτερο σε περιεχόμενο σκοπό από ότι η Οδηγία και θέτει ένα σαφές πλαίσιο για την επεξεργασία των προσωπικών δεδομένων, με σκοπό να ικανοποιήσει τους στόχους του δημόσιου συμφέροντος, αλλά και τους στόχους της επιστημονικής ή ιστορικής έρευνας, σε αντίθεση με την Οδηγία η οποία ορίζει πως τα κράτη μέλη καθορίζουν τις περιόδους αποθήκευσης των προσωπικών δεδομένων για ιστορική, στατιστική ή επιστημονική χρήση (Voss, 2017).

2.4 Η εφαρμογή του ΓΚΠΔ στον τραπεζικό τομέα μέσα από τη διεθνή έρευνα

Ο ΓΚΠΔ θεωρείται ως ένα ολοκληρωμένο σύνολο κανονισμών για τη συλλογή, αποθήκευση και χρήση των προσωπικών πληροφοριών (Parliament and Council of the European Union, 2016), που μάλιστα περιγράφεται ως μια «Copernican Revolution»¹ στη νομοθεσία περί προστασίας δεδομένων, με σκοπό να κινηθεί μακριά από τις γραφειοκρατικές απαιτήσεις και να εξασφαλίσει τη συμμόρφωση στην πράξη, την εναρμόνιση με το δίκαιο και την ατομική ενδυνάμωση (Kuner, 2012:115; Goodman &

Flaxman, 2016:1).

Σύμφωνα με τους Goodman & Flaxman (2016), ο ΓΚΠΔ έρχεται να καλύψει τα κενά και τις ασυνέπειες που παρατηρήθηκαν στην προηγούμενη προσέγγιση της Ευρωπαϊκής Ένωσης για την προστασία των δεδομένων, όπως για παράδειγμα, μέσα από το συμπεριλαμβανόμενο δικαίωμα «right to be forgotten» (άρθρο 17), καθώς και τους κανονισμούς για τις ξένες εταιρείες που συλλέγουν δεδομένα από τους ευρωπαίους πολίτες (Άρθρο 44). Αναφορικά με το παραπάνω δικαίωμα, δίνεται το δικαίωμα στο άτομο να ελέγξει τα προσωπικά του δεδομένα, να κάνει ανάκληση αυτών ή να θέσει σε τρίτους την επεξεργασία αυτών. Ο Κανονισμός έρχεται να καλύψει τα κενά και τις ασυνέπειες που παρατηρήθηκαν στην προηγούμενη προσέγγιση της Ευρωπαϊκής Ένωσης

1 τον 18 αιώνα ο Immanuel Kant έκανε λόγο για την έννοια ‘‘Copernican revolution’’ στη φιλοσοφία, θέλοντας να αναφερθεί στην κατανόηση της πραγματικότητας μακριά από εξωτερικά αντικείμενα και

για την προστασία των δεδομένων, καθώς η Οδηγία έθετε γενικούς κανόνες στο εθνικό πλαίσιο του κάθε κράτους – μέλους, ενώ ο ΓΚΠΔ δεν κατευθύνει τους κανόνες στις εθνικές νομοθεσίες, αλλά είναι κοινός σε όλα τα κράτη μέλη.

Ο σκοπός του Κανονισμού είναι η προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των προσώπων, με ειδική αναφορά στην προστασία των προσωπικών δεδομένων, σε μια εποχή όπου οι εμπορικές επιχειρήσεις και οι φορείς χαρακτηρίζονται από τεράστιες δυνατότητες για τη συλλογή, την αποθήκευση και τον συνδυασμό αξιοποίησης των προσωπικών πληροφοριών. Σκοπός του κανονισμού είναι επίσης η διευκόλυνση της ελεύθερης κυκλοφορίας των δεδομένων προσωπικού χαρακτήρα εντός της Ευρωπαϊκής Ένωσης, σύμφωνα με μια ενιαία νομοθεσία σε όλα τα κράτη μέλη (Albrecht, 2013). Για τις εταιρείες, η εφαρμογή του κανονισμού σημαίνει καλύτερα μέτρα για την προστασία των δεδομένων προσωπικού χαρακτήρα και επομένως αυτό συνεπάγεται περισσότερες νομικές απαιτήσεις, περισσότερος χρόνος και προσπάθεια για την καθιέρωση και εφαρμογή των σχετικών διεργασιών. Παράλληλα, οι πελάτες και οι εργαζόμενοι λαμβάνουν νέα και ενισχυμένα δικαιώματα, όπως αναφέρουν οι Freiherr &

Zeiter (2016).

Η σημασία του Κανονισμού, καθώς και οι επιπτώσεις του μετά την πρόσφατη έγκριση του από την Ευρώπη, αποτελεί θέμα συζήτησης στις μελέτες των Voss (2014), Hornung (2012) και Koops (2014), που υποστηρίζουν ότι το δίκαιο προστασίας των δεδομένων έχει γίνει ένα κρίσιμο σημείο της νομικής προστασίας, καθώς ο ΓΚΠΔ έρχεται να αντιμετωπίσει την πρόκληση της ενημέρωσης του νομικού πλαισίου στην Ευρώπη, αντικαθιστώντας την Οδηγία 95/46/ΕΚ περί προστασίας δεδομένων. Παρά το γεγονός ότι οι διαθέσιμες έρευνες στη διεθνή βιβλιογραφία αναγνωρίζουν ότι υπάρχει ένας απώτερος στόχος για την ενίσχυση της αποτελεσματικότητας και την εναρμόνιση της προστασίας των δεδομένων προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση μέσω της υιοθέτησης του ΓΚΠΔ, ορισμένοι από τους ερευνητές ασκούν και κάποια κριτική πάνω σε αυτό.

Για παράδειγμα, όπως αναφέρει στην έρευνα του ο Koops (2014) όσον αφορά την νομοθεσία περί προστασίας ευρωπαϊκών δεδομένων, υπάρχουν πιθανώς μερικά σημεία που πρέπει να εξεταστούν εις βάθος για να διασφαλίσουμε την πραγματική προστασία των δεδομένων, καθώς ο ερευνητής πιστεύει ότι υπάρχουν προβλήματα που διέπουν την προστασία πραγματικών στοιχείων στην πράξη. Πιο αναλυτικά, αμφισβητεί στην έρευνα

δεδομένα τους, ενώ ακόμη αναφέρει πως η όλη διαδικασία δεν απλοποιεί το νόμο, αλλά τον κάνει πιο πολύπλοκο και τέλος, υποστηρίζει πως ο Κανονισμός θα έπρεπε να είναι πιο ολοκληρωμένος.

Αντίστοιχα, οι Shabani & Borry (2018) υποστηρίζουν ότι ο νέος Κανονισμός έχει ήδη εγείρει ανησυχίες μεταξύ των διαφόρων ενδιαφερόμενων φορέων, λόγω των προκλήσεων που μπορεί να προκύψουν κατά την εφαρμογή του Κανονισμού σε όλες τις χώρες. Οι παραπάνω ερευνητές υποστηρίζουν ότι υπάρχουν πολύ μεγάλα περιθώρια για ερμηνείες και οι οποίες ενδέχεται να υπονομεύσουν την εναρμόνιση της προστασίας δεδομένων σε όλες τις χώρες. Παράδειγμα αποτελεί ο προβληματισμός αναφορικά με τα δεδομένα στον κλάδο της γενετικής για ερευνητικούς σκοπούς και οι κανόνες ασφαλείας που πρέπει να υφίστανται στη διαδικασία ανταλλαγής δεδομένων ανάμεσα στις χώρες για τους ερευνητικούς αυτούς σκοπούς.

Όπως αναφέρει στη μελέτη του ο Scanlan (2018), ο τομέας των χρηματοπιστωτικών υπηρεσιών και τραπεζών είναι ένας κλάδος, όπου οι ασφαλείς συναλλαγές είναι ύψιστης προτεραιότητας. Υπό την έγκριση του ΓΚΠΔ, ορισμένες χρηματοπιστωτικές υπηρεσίες και τράπεζες, όπως για παράδειγμα στις Η.Π.Α., εξακολουθούν να βρίσκουν δυσκολία στην υιοθέτηση του Κανονισμού, ιδίως όσον αφορά το τι είναι ο Κανονισμός, ποιες αρχές πρέπει οι τράπεζες να πληρούν και πώς μπορούν να ακολουθήσουν τη διαδικασία συμμόρφωσης. Πολλές τράπεζες καλούνται να κατανοήσουν πώς πρέπει να συμμορφώνονται οι προμηθευτές τρίτων υπηρεσιών, παρά το γεγονός ότι οι περισσότεροι από αυτούς έχουν ήδη πολιτική προστασίας προσωπικών δεδομένων. Αξίζει να αναφερθεί πως στις Η.Π.Α. είναι διαφορετική η προσέγγιση περί προστασίας προσωπικών δεδομένων, όπου αντί για ένα ενιαίο κανονιστικό πλαίσιο όπως αυτό που ορίζει ο ΓΚΠΔ, υιοθετείται διαφορετικά η διαδικασία προστασίας προσωπικών δεδομένων στους επιμέρους κλάδους, σε συνεργασία με το Κράτους και με βάση ένα σύνολο νόμων όπως:

τον Health Insurance Portability and Accountability Act για τον κλάδο της υγείας, τον National Institute of Standards and Technology 800-171, για μη κυβερνητικούς οργανισμούς τεχνολογίας των πληροφοριών, τον Gramm-Leach-Bliley Act για τον χρηματοπιστωτικό τομέα και τις τράπεζες και τον Federal Information Security Management Act στο πλαίσιο της ηλεκτρονικής διακυβέρνησης (endpointprotector.com, 2019).

Σύμφωνα με τον Millar (2018), εντός του χρηματοπιστωτικού τομέα, ο ΓΚΠΔ φαίνεται να αποτελεί μια σημαντική πρόκληση. Αυτό οφείλεται στην ανάγκη που έχουν οι τράπεζες αφενός να συμμορφώνονται αποτελεσματικά σύμφωνα με τις οδηγίες του πελάτη, ενώ από την άλλη πλευρά, ο Κανονισμός προσφέρει στους πελάτες περισσότερη πρόσβαση σε δεδομένα. Κάτω από αυτές τις συνθήκες, υπάρχει μια αυξανόμενη χρήση της ανάλυσης δεδομένων, αλλά υφίστανται και δυσκολίες στην υλοποίηση των διεργασιών. Στο πλαίσιο αυτό, συχνά παρατηρείται πως πολλά συστήματα τεχνολογίας πληροφοριών δεν έχουν σχεδιαστεί για τις απαιτούμενες διαδικασίες, ενώ συχνά τα μεγάλα τραπεζικά ιδρύματα αντιμετωπίζουν δυσκολίες στην εφαρμογή των διαδικασιών λόγω των πολλών υποσυστημάτων που κατέχουν. Επίσης, συχνά ο χρόνος για να υλοποιηθεί το νέο σύστημα που θα υποστηρίζει τεχνικά τις απαιτήσεις του κανονισμού δεν είναι αρκετός. Περαιτέρω, το θέμα της επιχειρηματικής κουλτούρας είναι επίσης σημαντική συνιστώσα, καθώς πολλοί εργαζόμενοι ενδέχεται να αντιμετωπίσουν δυσχέρειες στην αντιμετώπιση υιοθέτησης του Κανονισμού, όπως όταν υπάρχει εμπόδιο όσον αφορά την καταλληλότητα των ομάδων εργασίας που θα αναλάβουν τη διεργασία υλοποίησης του συστήματος που θα υποστηρίξει τις απαιτήσεις του κανονισμού. Τέλος, το θέμα του κόστους είναι ένα επίσης αξιοσημείωτο θέμα και δεν μπορεί να αγνοηθεί. Για παράδειγμα, το κόστος υλοποίησης του ΓΚΠΔ για τράπεζες του Ηνωμένου Βασιλείου ορίζεται κατά μέσο όρο σε ποσό των 66 εκατομμυρίων λιρών, που είναι το υψηλότερο από οποιοδήποτε τομέα.

Ορισμένες δαπάνες είναι επίσης πιθανόν να συνεχιστούν σε μακροπρόθεσμη βάση, λαμβάνοντας υπόψη την συνεχιζόμενη ανάγκη για συμμόρφωση.

Όπως υποστηρίζει ο Millar (2018), ο ΓΚΠΔ μπορεί να περιγραφεί ως μια σημαντική εξέλιξη, αλλά σίγουρα δεν είναι μια επανάσταση. Ο Κανονισμός φέρνει ευκαιρίες, όπως το γεγονός του ότι η συμμόρφωση μπορεί να χρησιμοποιηθεί ως ένας καλύτερος τρόπος της προώθησης του εμπορικού σήματος της τράπεζας. Στην πραγματικότητα, ο ΓΚΠΔ μπορεί να είναι μια ευκαιρία για ανάπτυξη της αλληλεπίδρασης των πελατών και της εμπιστοσύνης με την τράπεζα, κάτι που είναι υψίστης σημασίας στον χρηματοπιστωτικό και τραπεζικό τομέα.

Τέλος, σε ό,τι αφορά τον ελληνικό τραπεζικό τομέα, τα ζητήματα των μη εξυπηρετούμενων δανείων και ο «ΤΕΙΡΕΣΙΑΣ» οδηγούν τις τράπεζες να εφαρμόσουν ένα πλαίσιο ιδιαίτερα αυστηρό και δαπανηρό. Στο πλαίσιο αυτό, οι ελληνικές τράπεζες, σύμφωνα με τον ΓΚΠΔ, έχουν προσαρμόσει την πολιτική τους σχετικά με την

επεξεργασία των δεδομένων προσωπικού χαρακτήρα και τις σχετικές διαδικασίες, προκειμένου να συνεχίσουν να παρέχουν τη μέγιστη δυνατή προστασία στους πελάτες τους και να προσφέρουν την καλύτερη εξυπηρέτηση στο πλαίσιο των συναλλαγών τους.

Οι ελληνικές τράπεζες ορίζουν στις ενημερωτικές εκθέσεις τους το είδος των προσωπικών πληροφοριών που συλλέγουν, τους σκοπούς της επεξεργασίας αυτών, το σύνολο δυνητικών αποδεκτών των δεδομένων, τη διαδικασία της συντήρησής τους, καθώς και τα προστατευτικά μέτρα που έχουν ληφθεί από την τράπεζα, εφαρμόζοντας όλα τα παραπάνω κατά τη χρήση εναλλακτικών δικτύων εξυπηρέτησης, όπως Internet Banking και Mobile Banking.

Ολοκληρώνοντας, ο ΓΚΠΔ φαίνεται πως εισάγει νέα στοιχεία και σημαντικές βελτιώσεις, οι οποίες απαιτούν ωστόσο λεπτομερή εξέταση από όλους τους οργανισμούς που εμπλέκονται στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα. Είναι σημαντικό και χρήσιμο για οργανισμούς να εντοπίσουν και να χαρτογραφήσουν τις σχετικές διαδικασίες δεδομένου ότι τα βασικά σημεία του Κανονισμού δημιουργούν μεγάλη επίδραση στο επιχειρηματικό τους μοντέλο. Έτσι, είναι απαραίτητο για όλους τους οργανισμούς να υλοποιούν άρτια το σχεδιασμό των διαδικασιών για την υλοποίηση του ΓΚΠΔ και εκμεταλλευτούν την ευκαιρία να εξασφαλίσουν τις απαραίτητες διαδικασίες, η υλοποίηση των οποίων θα συμβάλει στη βελτίωση της διαφάνειας, της λογοδοσίας και της προστασίας των δικαιωμάτων των ενδιαφερομένων μερών τους.

3. Το πλαίσιο των λοιπών συστημικών τραπεζών στην Ελλάδα αναφορικά με τον ΓΚΠΔ και στοιχεία τραπεζών από την

Ευρώπη

3.1 Ο τραπεζικός χάρτης στην Ελλάδα μετά την κρίση

Ο τραπεζικός τομέας στην Ελλάδα χαρακτηρίστηκε έντονα από τις επιπτώσεις της κρίσης, δεχόμενος από το 2009 έως σήμερα μια σημαντική μείωση των θέσεων εργασίας κατά 26.000 άτομα, περίπου 2.100 καταστήματα έπαυσαν να λειτουργούν, το επίπεδο των καταθέσεων μειώθηκε κατά 100 δισ. ευρώ ενώ μεγάλη ήταν και η μείωση του ενεργητικού των τραπεζών κατά 204 δισ. ευρώ. Από πλευράς μεγέθους, οι τράπεζες στην Ελλάδα έφτασαν στο μισό του μεγέθους τους, σε σχέση με τα επίπεδα μεγέθους πριν την κρίση, ενώ υποχρεώθηκαν να εγκαταλείψουν το μεγαλύτερο μέρος των επενδύσεων που είχαν πραγματοποιήσει στην ευρύτερη περιοχή της Νοτιοανατολικής Ευρώπης. Στο πλαίσιο αυτό, πάνω από 10 τράπεζες σταμάτησαν τη λειτουργία τους, διασπώμενες σε δυο μέρη: στο «καλό» (που περιλαμβάνει καταθέσεις και εξυπηρετούμενα δάνεια) και στο

«κακό» (που περιλαμβάνει μη εξυπηρετούμενα δάνεια, τα λεγόμενα «κόκκινα» δάνεια).

Το «καλό» τμήμα απορροφήθηκε από κάποια συστημική τράπεζα ενώ το «κακό» τέθηκε σε καθεστώς ειδικής εκκαθάρισης.

Πριν την κρίση βρίσκονταν σε λειτουργία στη χώρα μας πάνω από 20 τράπεζες. Σήμερα λειτουργούν τέσσερις συστημικές τράπεζες (Εθνική Τράπεζα, Τράπεζα Πειραιώς, Alpha Bank, Eurobank) οι οποίες κατέχουν το 95% της ελληνικής αγοράς. Οι μόνες μη συστημικές τράπεζες είναι η Attica Bank και η Παγκρήτια Τράπεζα καθώς και εννέα συνεταιριστικές και πέντε πιστωτικοί συνεταιρισμοί (Ομοσπονδία Τραπεζοϋπαλληλικών Οργανώσεων Ελλάδος, 2015; economistas, 2019).

3.2 ΓΚΠΔ και συστημικές τράπεζες στην Ελλάδα

Η Εθνική Τράπεζα, στο πλαίσιο επεξεργασίας των προσωπικών δεδομένων και με βάση τον ΓΚΠΔ, δηλώνει πως εξασφαλίζει τη συλλογή των εν λόγω στοιχείων με τρόπο θεμιτό και νόμιμο, εγγυάται τη συναίνεση/ συγκατάθεση του πελάτη με σαφήνεια, συλλέγει τα προσωπικά δεδομένα που εξυπηρετούν τους σκοπούς της, τα ελέγχει ως προς την

ακρίβειά τους και διενεργεί συχνή ενημέρωση και επικαιροποίηση σύμφωνα με τις θεσπισμένες διαδικασίες. Τα προσωπικά δεδομένα τηρούνται σε μορφή που επιτρέπει τον προσδιορισμό της ταυτότητας του πελάτη για το καθορισμένο χρονικό διάστημα και με βάση το σκοπό της επεξεργασίας τους, ενώ παράλληλα τηρεί όλα τα αναγκαία μέτρα ασφαλείας για την προστασία των δεδομένων και την πρόληψη κινδύνων. Η συγκατάθεση του πελάτη μπορεί να ανακληθεί ανά πάσα στιγμή, χωρίς φυσικά να θίγεται η νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση προ της ανάκλησής της (Εθνική Τράπεζα, 2019).

Η Alpha Bank εφαρμόζει τον ΓΚΠΔ στο πλαίσιο συναλλακτικής σχέσεως για προϊόν ή υπηρεσία της (καταθετικό, χορηγητικό, εγγυοδοτικό, επενδυτικό, τραπεζοασφαλιστικό, υπηρεσία πληρωμών, επενδυτική υπηρεσία), τηρώντας τις προβλεπόμενες διαδικασίες για την ενημέρωση του Πελάτη και τη λήψη της συγκαταθέσεώς του. Τα προσωπικά δεδομένα συλλέγονται, είτε με την έναρξη συναλλακτικής σχέσεως, είτε και μεταγενέστερα, με στόχο την ικανοποίηση των σκοπών της Τράπεζας βάσει του Κανονισμού. Η Τράπεζα προστατεύει τα δικαιώματα του Πελάτη και τηρεί με σαφήνεια το κανονιστικό πλαίσιο (Alpha Bank, 2018).

Ομοίως, η Τράπεζα Eurobank υιοθετεί τον Κανονισμό (ΕΕ) 2016/679 και τις διατάξεις της σχετικής κείμενης ελληνικής νομοθεσίας περί προστασίας δεδομένων προσωπικού χαρακτήρα και δηλώνει πως επεξεργάζεται τα προσωπικά δεδομένα των πελατών της, τα οποία συλλέγει είτε μέσα από την υποβολή σχετικής αίτησης για τη χορήγηση προϊόντος ή παροχής υπηρεσίας, είτε μεταγενέστερα, μέσα από τη σύναψη και λειτουργία σύμβασης με την Τράπεζα, είτε στο πλαίσιο των γενικών σχέσεων και συναλλαγών με την Τράπεζα.

Η Τράπεζα τηρεί τις κανονιστικές απαιτήσεις και προστατεύει τα δεδομένα του πελάτη, με κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια του απορρήτου (Eurobank, 2019).

Διαφαίνεται λοιπόν πως οι Τράπεζες στην Ελλάδα ακολουθούν το κανονιστικό πλαίσιο σε μια κοινή βάση, ορίζοντας με σαφήνεια το σκοπό της επεξεργασίας των δεδομένων, τη νομική βάση της επεξεργασίας αυτών, τις κατηγορίες των δεδομένων, τον τρόπο συλλογής τους και τις πηγές τους, τους χρόνους τήρησης καθώς και τους αποδέκτες των δεδομένων.